病毒名稱:敲詐者
英文名稱:Win32.Hack.SnuHay.a
病毒類型:黑客程式
影響系統:Win 9x/ME/ 2000/NT,Win XP,Win 2003
它能覆蓋Windows的任務管理器,使得任務管理器無法使用,並能刪除用戶的檔案。
危害
1:拷貝檔案
病毒運行後,會把自己拷貝到以下地方:
C:\windows\system32\wins.com
C:\Documents and Settings\All Users\「開始」選單\程式\啟動\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
往該檔案寫入警告語言並顯示。
C:\Documents and Settings\All Users\桌面\警告.h
其中以下兩處為Windows任務管理器的檔案,病毒是直接把任務管理器替換成病毒本身,
使用戶無法使用Windows任務管理器
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
2:修改註冊表:
病毒會修改以下註冊表值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden -> 0x02
HKCR\txtfile\shell\open\command\(Default)
"C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt -> 0x01
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoClose -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
StartMenuLogOff -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFind -> 0x01
刪除鍵值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
使得系統中無法查看隱藏檔案,無法關閉與註銷系統,無法打開txt文檔,嚴重影響用戶的工作。
並添加以下兩處註冊表值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticecaption -> "警告:"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticetext ->" 發現您硬碟內曾使用過盜版了的我公司軟體,所以將您部份檔案移到鎖定了的扇區,若要解鎖將檔案釋放,請電郵[email protected]購買相應的軟體"
使得Windows啟動時會彈出該信息視窗,給用戶造成恐慌。
3:註冊服務
病毒會註冊一個名為"WINS"的服務,並指向
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
使病毒能隨Windows啟動。
4:刪除檔案
病毒會刪除以下檔案:
C:\\Program Files\\Tencent\*.*
其它分區的所有檔案
但不會刪除資料夾,
給用戶造成巨大的損失。
